Pesquisa detecta aumento de multiextorsão com ransomware Medusa

Especialistas da Unit 42, unidade de pesquisa da Palo Alto Networks, identificaram que o ransomware impactou cerca de 74 organizações globalmente em 2023, afetando setores como alta tecnologia, educação e manufatura

Compartilhar:

O ransomware Medusa, recentemente destacado pelos analistas da Unit 42, unidade de pesquisa da Palo Alto Networks, é uma ameaça em ascensão no cenário de segurança cibernética. Este grupo malicioso, conhecido pela família Medusa, ganhou notoriedade ao introduzir o Medusa Blog no início de 2023, marcando uma mudança nas suas táticas de extorsão. A família Medusa já tinha um histórico de sucesso com o MedusaLocker em anos anteriores, mas agora, com o ransomware Medusa, eles estão emergindo como uma ameaça proeminente desde o início de 2023.

 

Esse malware é altamente perigoso e pode impedir a restauração do sistema. Uma vez que os dados são sequestrados, o grupo Medusa exige o pagamento de um resgate para liberar as informações. Em caso de não conformidade, todas as informações roubadas são publicadas em um vídeo feito pelo grupo, intensificando a pressão sobre as vítimas.

 

“Utilizando o Medusa Blog como plataforma, o grupo Medusa adotou uma estratégia de multiextorsão. As vítimas que se recusam a atender às exigências do grupo têm a opção de escolher entre diferentes alternativas, como prorrogação do prazo, exclusão seletiva de dados ou o download completo das informações comprometidas, cada uma associada a um preço variável”, afirma Marcos Oliveira, Country Manager da Palo Alto Networks no Brasil.

 

Além disso, o grupo utiliza o canal público no Telegram chamado “suporte de informações” para compartilhar arquivos de organizações comprometidas, tornando-os mais acessíveis do que as tradicionais plataformas da dark web.

 

Em resposta a um incidente de ransomware Medusa, os pesquisadores da Unit 42 identificou as táticas, ferramentas e procedimentos empregados pelo grupo. “Os clientes da Palo Alto Networks podem contar com a proteção do Cortex XDR e dos serviços de segurança da nuvem WildFire para mitigar as ameaças representadas pelo grupo Medusa. Essas medidas são cruciais para defender organizações contra as atividades maliciosas desse grupo e proteger dados sensíveis contra potenciais sequestros”, completa Oliveira.

 

Visão Geral do Ransomware Medusa as a Service

 

Medusa emergiu como uma plataforma de Ransomware as a Service (RaaS) no final de 2022, ganhando notoriedade em 2023 ao direcionar principalmente ambientes Windows. Diferentemente do MedusaLocker, presente desde 2019, a análise da Unit 42 concentra-se no ransomware Medusa, que impacta organizações que usam Windows.

 

O grupo propaga seu ransomware através da exploração de serviços vulneráveis e do sequestro de contas legítimas, empregando intermediários de acesso inicial. A equipe da Unit 42 observou uma escalada nas atividades, marcada pelo lançamento do Medusa Blog em 2023, intensificando as táticas de multiextorsão.

 

Também foi observado que o ransomware Medusa implementa a técnica living-off-the-land (vivendo fora da terra, tradução livre), utilizando software legítimo para fins maliciosos, o que muitas vezes pode se misturar com tráfego e comportamento regulares, tornando mais difícil identificar essas atividades.

 

“Com base no Medusa Blog, identificamos que o ransomware impactou cerca de 74 organizações globalmente em 2023, afetando setores como alta tecnologia, educação e manufatura. A análise técnica revelou estratégias de exploração diferenciadas, incluindo o uso de webshells, que são programas maliciosos que permitem a invasores controlar servidores web e executar comandos não autorizados”, conclui o executivo.

 

Conteúdos Relacionados

Security Report | Overview

América Latina é região com maior crescimento de ataques industriais com documentos maliciosos

Quantidade de incidentes é 2,1 vezes superior à média global de aumento de ciberameaças a sistemas de automação industrial de...
Security Report | Overview

Companhias de governo e tecnologia são principais vítimas do malware “FunkSec”

Pesquisa da ISH Tecnologia revela que o novo ransomware detectado compartilha ferramentas com criminosos e abusa de IA para aplicar...
Security Report | Overview

Laboratório de ameaças detecta malware com comando e controle via Telegram

Durante a análise da equipe do Netskope Threat Labs, foi descoberto um payload aparentemente ainda em desenvolvimento, mas já totalmente...
Security Report | Overview

Malware utiliza backdoor apoiado por IA para promover ataques, alerta estudo

Para combater tais ciberameaças, as organizações devem ir além das defesas tradicionais e adotar medidas de segurança proativas e adaptativas...